Aus einer *exe wurde eine *lnf datei

Hallo!

Seit gestern habe ich folgendes Problem:

Ich konnte Windows XP normal starten, als alle Programme geladen wurden, zeigte mir Ad-Watch an, dass ein Virus sein unwesen treibt. Ich habe flüchtig den Ort des Virus gelesen, irgendwo in HKEY_CLASSES_ROOT. Dann konnte ich keine exen mehr starten. Hab dann Pc neugestartet, im abgesicherten Modus und versucht, via Start-Ausführen-Regedit in HKEY_CLASSES reinzukommen, doch im Abgesicherten Modus kann man keine exen mehr starten, da diese nun *lnf heißen. Glücklicher weise funktioniert Antivir im abgesicherten Modus, habe dann auf die schnelle WINDOWS durchsucht, aber er hat kein Virus gefunden. Dann wollte ich Windows neustarten um zu sehen, wie der Virus heißt (Normaler Modus), doch nun heißen auch da alle exen *lnf??!!! Was kann ich tun? -Wie komme ich noch in HKEY_CLASSES rein?? Bitte um Hilfe!!

 

Hallo,
Ad-Watch für was soll das Programm nun wieder gut sein, wenn es die Veränderungen an der Registry nicht verhindern kann dann kannst du es dir auch gleich in die Haare schmieren.

Wenn du jetzt die Zuordnung in der Registry wieder änderst (da kann ich dir noch behilflich sein und dir einen Reg.-Patch anbieten wenn ich ihn hier wieder finde) nutzt das erstmal nichts weil der Virus vermutlich noch aktiv ist und dieses wieder ändert. Zuerst müsste also der Virus matt gesetzt werden.

Bekommst du das HiJackThis noch zum laufen ?. Alter Trick die "hijackThis.exe" umbennenen in zum Beispiel "hijack.com" um sie starten zu können.

 

Registry-Fix für die Extension *.exe

Code:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile]
@="Anwendung"
"EditFlags"=hex:38,07,00,00

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"

[HKEY_CLASSES_ROOT\exefile\shell]

[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\runas]
"Extended"=""

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{B41DB860-8EE4-11D2-9906-E49FADC173CA}]
@=""

 

hmm da hast du recht^^ das is ein onguard von ad-adaware..

also ich kenn mich in sachen registry überhaupt nicht gut aus, also erst einmal was ist hijackThis.exe?? Und was soll ich mit der Registry-fix/exe machen?? Das Problem ist halt, dass ich überhaupt nix machen kann in Windows!! Im abgesicherten Modus funkioniert wenigstens noch der antivir!

 

@ Mod: Bitte löschen, da doppelt gepostet

 

Zu HiJackThis kannst du hier viel Wissenswertes nachlesen
http://www.pcwelt.de/forum/sicherhe...bedingt-lesen-posten-von-hijackthis-logs.html

 

Hallo,
oben im Board "Sicherheit" steht eine Anleitung zu HiJackThis, bitte lesen. Mit HiJackThis kann man feststellen wo und wie der Virus gestartet wird, Ziel des Programms ist es den Starteintrag zu löschen so dass der Virus bei einem Neustart des Rechners sich nicht mehr aktivieren kann.

Die Zip-Datei enthält die "exe.reg", diese Datei kannst du ausführen. Sie stellt die Registry-Einträge wieder her die der Virus verändert hat.

 

also erst einmal danke für die hilfe!!

ich werde jetzt mal hijackthis.exe ausprobieren.

Wie kann ich denn die exe.reg öffnen? -wenn ich doppel klick mache, muss ich ein programm auswählen, mit dem ich es öffnen kann... Oder muss ich das mit cmd machen??

 

Hallo,

wie *.reg kennt dein Rechner auch nicht mehr... ist ja übel. Die wird normal mit der regedit.exe geöffnet / verknüpft (regedit.exe "%1")

 

fuck ich denk da kann man nix mehr machen...

ich war jetzt mal im abgesicherten modus bei meinen normalen konto drin, sonst war ich immer als admin drin und da ist es genauso, als wenn ich nicht im abgesicherten modus bin!! Ich kann da nix machen, nur noch als administrator! WAS IST DAS FÜR EIN VIRUS VERDAMMT???!!!

 

hmm was soll ich jetzt machen?? hijackthis funzt net... es funzt keine einzige exe!! aba ich hab ja noch den antivir. ich kann ihn zwar net öffnen, aber bei dem jeweiligen ordner rechtsklick, auf viren überprüfen. ich muss jetz bloß noch irgendwie in HKEY reinkommen ohne regedit.exe... geht das?? -der ordner/die dateien müssen ja irgendwo gespeichert sein auf der festplatte oder nicht??

 

Hallo,
oben in meinem ersten Posting habe ich doch bereits geschrieben du möchtest testen ob sich das Programm durch umbenennen in eine *.com starten lässt .. also statt hijackthis.exe .. hijackthis.com. Du musst halt besser sein als der Virenschreiber / Programmierer..

 

xD ne geht auch net

kann ich nix mit dem antivir machen???

Wie siehts mit dem Schaden aus... Neues Windows drauf und Festplatte formatiern oder is die Festplatte ganz kaputt??